Появляется вредоносный скрипт на сайте =(
Страницы: Пред. 1 2
Появляется вредоносный скрипт на сайте =(
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
Скачайте самые новые фильмы торент

Комплексное SEO продвижение в поисковых системах Яндекс, Google

Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Чебоксары, netbynet.ru ))))
В Питере тоже есть, в одном жилом комплексе
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
Цитата
Coder пишет:
Цитата
Олег Былинкин пишет:
Подскажите как это остановить?
Самому найти можно и есть темы на форуме - айболит и прочее.

Есть услуги тех, кто этим занимается: _http://www.cy-pr.com/forum/f80/t48012/m795575#message795575
ai-bolit тема конечно, особенно эвристика. Меня неоднократно выручал
Изменено: xschneider - 21 Октября 2014 12:18
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются). 

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения. 
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
У меня php.mail.log и maillog показывал, что это скрипты с помощью sendmail спамили сообщениями по 25-му порту а все потому что sendmail настроен как relay. А само веселье началось 10 октября, мне позвонил знакомый саппортер от провайдера, говорит типа более 500 сообщений в секунду по 25 порту шпарит. tcpdump port 25 и показал что правда... mailq - показал что еще 100500 в очереди... конечно я их убрал из очереди
Изменено: xschneider - 21 Октября 2014 12:25
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Либо в самих скриптах которые выполняет cron?
Ну а как он может приблезительно выглядеть этот код который автоматом ставит всё это?
У меня туго с программированием php, такие вещи делаю на уровне интуиции. Если вижу что-либо подозрительное, сперва смотрю в интернете, а только потом удаляю. Лучше открыть все файлы в cron.daily, cron.daily, cron.monthly и посмотреть куда ведут пути.
И еще вопрос, есть ли еще сайты на серваке?
Да есть, а они как то влияют? или в них тоже могли влить плохие скрипты?
Цитата
Григорий пишет:
Посмотрите в логе access_log за последние пару дней обращения к этим скриптам
dirs.php, renovation.php, title.php, utf.php (или какие у вас создаются).

Их должны "простукивать". Так можно узнать IP адреса, далее сделать фильтр по IP и посмотреть, к каким еще скриптам были обращения с данных IP. Есть шанс найти и бэкдор.

Если запросов методом POST на сайте мало, то можете также отфильтровать лог access_log по POST и посмотреть, к каким скриптам идут обращения.
access_log из Apache или в самом сайте?
С именем access_log создает файл только apache. Неудобство в том, что он может быть огромным по количеству строк и размеру. Путь /var/log/httpd/access_log­
Изменено: xschneider - 21 Октября 2014 12:58
Цитата
Coder пишет:
Самому найти можно и есть темы на форуме - айболит и прочее.
Вообще старая тема конечно но вдруг кому пригодится ищите в своих папках eval и удаляйте его без сомнений - без этого кусочка вредоносные скрипты и вирусы работать просто не будут
Страницы: Пред. 1 2
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
16:07 Прошу помощи. 
15:11 Adtrafico - Правильная партнёрская сеть под бурж трафик 
14:32 Новый сайт без продвижения 
14:01 Качественные услуги по взлому почты/соц сетей 
13:49 Прошу помощи. 
13:49 Прошу помощи. 
13:48 Прошу помощи. 
16:53 Куплю канал Яндекс Дзен срочно 
16:50 Web-мастер (wordpress, joomla, dle, ucoz, modx, соц сети и прочие) 
16:43 Продам свой сайт в системе ucoz 
16:14 SocksHub.net - proxy, которые подходят всем 
15:42 Core Seo Pro - получите на свой сайт тонны трафика от google 2019 
15:42 Прием смс на реальные номера US|Продажа ssh-tunel (не Брут) 
15:41 Лицензионные программы для вашего бизнеса. Кол-во, ключей ограничено 
20:27 Партнерка по торговле акциями КАНнАБИСа, получай кеш с любой сделки. 
20:26 Наши машинки 
18:36 Как восстановить удаленные файлы на компьютере? 
16:44 На какую тему создать сайт? 
12:58 Кому пришла выплата с AdSense? 
09:39 Акции, облигации, банковский депозит? 
13:21 Топик поднятия настроения. Приколы, картинки, видео и пр.